問86の正解: アテクノロジ系/セキュリティ
情報セキュリティにおけるリスクアセスメントを、リスク特定、リスク分析、リスク評価の三つのプロセスに分けたとき、リスク分析に関する記述として、最も適切なものはどれか。
この設問が問うていること
ISMSのリスクアセスメントにおける「リスク特定」「リスク分析」「リスク評価」のうち、「リスク分析」の特徴と目的について問う設問です。
ア受容基準と比較できるように、各リスクのレベルを決定する必要がある。正解
選択肢アの解説: リスクを受容基準と比較し評価できるように、各リスクの発生確率と影響度からリスクレベルを決定する必要があるため、適切です。
イ全ての情報資産を分析の対象にする必要がある。
選択肢イの解説: アセスメントの適用範囲外の情報資産については、分析の対象にする必要はありません。
ウ特定した全てのリスクについて、同じ分析技法を用いる必要がある。
選択肢ウの解説: リスクの特性に合わせて、定性的評価や定量的評価など異なる分析技法を使い分けることができます。
エリスクが受容可能かどうかを決定する必要がある。
選択肢エの解説: リスクが受容可能かどうかを決定するのは、次のプロセスである「リスク評価」の役割です。
総合解説
ISMS(情報セキュリティマネジメントシステム)におけるリスクアセスメントの一連のプロセス(特定、分析、評価)の定義に関する問題です。 ・リスク特定: 組織内の守るべき資産と、それに対する脅威や脆弱性を洗い出す。 ・リスク分析: 特定されたリスクの発生確率(可能性)と、発生した際の影響度(損失の規模)を勘案し、「リスクレベル(リスクの大きさ)」を算出・決定する(選択肢a)。 ・リスク評価: 分析で求めたリスクレベルを、あらかじめ定めた「リスク受容基準」と比較し、優先的に対策すべきか(リスク受容可能か)を判定する(選択肢d)。 したがって、リスク分析のプロセスを正しく説明しているのは選択肢aです。
AIAIにその場で質問(デモ応答)
こんな聞き方もできます(タップで質問)